« La sécurité a beau être prévue, ce n’est pas pour autant qu’elle est toujours utilisée »
Partner content met en relation les organisations avec les lecteurs et fait appel aux spécialistes de Roularta Brand Studio pour le texte et les illustrations. Le contenu peut être fourni par le partenaire et n'engage pas la responsabilité de la rédaction.
La sensibilisation à l’importance de la cybersécurité est toujours plus grande. Mais quand bien même les entreprises investissent dans la sécurisation de leur environnement IT, cela ne garantit pas pour autant que les collaborateurs utiliseront correctement ces solutions. Ainsi, l’homme est et reste le facteur crucial en matière de cybersécurité.
Aujourd’hui, les incidents de sécurité IT se multiplient comme le prouvent les médias. Du coup, les entreprises devraient avoir pris conscience de l’importance de la sécurité, du moins il faut l’espérer. « Tout dépend de la personne que vous interrogez », estime Cindy Wubben, CISO Benelux de Visma. « Dans le secteur public par exemple, le niveau de sensibilisation est très élevé, alors qu’il est particulièrement faible dans le domaine de l’enseignement. » En outre, la taille de l’organisation intervient, du moins selon les enquêtes. Ainsi, les plus petites entreprises continuent à sous-estimer les risques ou estiment qu’il est trop difficile de prendre les bonnes initiatives. « Notamment parce qu’elles doivent faire appel à un spécialiste, un profil particulièrement difficile à trouver sur le marché du travail. »
Et même si une entreprise prend les mesures qui s’imposent, il ne s’agit pas forcément d’une garantie de succès. « Très souvent, cette sécurité existe bel et bien, mais n’est pas ou pas correctement utilisée », insiste Cindy Wubben. « C’est ainsi que si les collaborateurs peuvent partager des données au sein de l’environnement sécurisé d’une application, ils n’en choisissent pas moins le courriel pour l’envoi d’un document. » Il en va de même pour l’authentification multifactorielle : le système a beau être effectivement déployé, les utilisateurs préfèrent souvent ne pas y recourir lorsqu’ils ont le choix, notamment parce qu’ils considèrent ce deuxième facteur comme simplement trop fastidieux.
La créativité grâce à l’IA
Dans le même temps, le paysage évolue constamment et les cybercriminels se montrent particulièrement inventifs. Ceux-ci exploitent pleinement les nouvelles technologies, comme l’IA, pour optimiser l’impact de leurs attaques. C’est ainsi qu’un employé peut recevoir via WhatsApp un message vocal qui émane prétendument de son CEO avec par exemple une demande d’effectuer d’urgence un paiement. « Le message paraît étonnamment crédible », précise Cindy Wubben. « La voix a en effet été parfaitement imitée grâce à l’IA, même si l’intonation peut permettre de savoir qu’il ne s’agit pas d’un vrai message d’une véritable personne. » La meilleure solution consiste à faire appel à son bon sens : celui qui reçoit un tel message surprenant doit y réfléchir à deux fois : le CEO ferait-il vraiment une telle demande via WhatsApp ?
Un problème interne
Au-delà de l’importance de la sensibilisation et du facteur humain, il apparaît clairement que non seulement les risques se multiplient, mais que la complexité de la sécurité ne fait que croître. Dans un tel contexte, les entreprises externalisent toujours plus leur sécurité IT, sans compter la difficulté à trouver suffisamment de profils sur le marché du travail. « Dans d’autres services également, le recours à l’externalisation est toujours plus important, et donc pourquoi pas aussi dans la sécurité ? », s’interroge Cindy Wubben. « Reste qu’il est essentiel de savoir que vous assumez seul la responsabilité finale. La sécurité demeure un problème interne. Dès lors, il ne suffit pas de recruter ponctuellement un spécialiste externe. »
Rançon ? Ne pas payer !
Nombre d’incidents évoqués dans la presse concernent des rançongiciels. En l’occurrence, une difficulté supplémentaire – outre le préjudice économique et lié à la réputation – réside dans la décision de verser ou non la rançon exigée. « C’est somme toute compréhensible d’envisager de payer en tant que victime », analyse Cindy Wubben. « Mais la position de Visma est sans équivoque : nous conseillons de ne pas payer. » L’important pour une entreprise est surtout de pouvoir s’appuyer sur un plan solide en cas d’attaque. « Nous avons personnellement aussi été victime d’une attaque. Dès le lendemain, le volet technique était résolu. Mais ensuite, un important travail de communication a dû être accompli afin de tout expliquer à nos clients – qui ont à leur tour communiqué vers leurs clients finaux. »
« Très souvent, la sécurité existe bel et bien, mais n’est pas ou pas correctement utilisée. »
Cindy Wubben, CISO Benelux de Visma
La mise en œuvre de mesures ainsi qu’un plan rigoureux de repli ont de plus en plus la priorité face à la souscription d’une assurance cyber et face à une position d’attentisme et l’espoir d’un dénouement positif. Une telle assurance cyber – qui indemnise les coûts d’un incident, et éventuellement même le versement d’une rançon – est une formule qui s’avère à terme intenable. « C’est en outre un système qui favorise le recours à une rançon », estime encore Cindy Wubben. « En cas d’incendie, l’assureur rembourse les dégâts subis. Mais il n’indemnise quand même pas la personne qui a sciemment provoqué l’incendie. »
Plus d’infos sur www.visma.com.